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Whoa mi 

• Formado em Processamento de Dados pela FATEC-SP, 
pos-Graduado em Gestao da Seguranga da Informagao 
pelo IBTA-SP. 


• Professor de seguranga da informagao na FATEC-SP. 

• 10 anos em Consultoria de Seguranga da Informagao 
em diversas empresas, atualmente trabalho no Blue 
Teamde uma instituigao financeira. 

• Fundador e consultor na Spark Security . 

• CISSP, CEH. 


0 que falaremos sobre Inteligencia de Ameagas 


• Conceitos 

• Por que e Para que? 

• Modelos 

• SANS Sliding Scale of Cybersecurity 

• Pyramid of Pain 

• Cyber Kill Chain 

• Diamond Model 

• Caso Real - Detecgao de Ameagas e 
Resposta a Incidentes 




Conceitos 


Inteligencia - "todo o tipo de informagoes sobre o inimigo e o 
seu pais - a base, em resumo, dos nossos pianos e operagoes 

Da Guerra - Carl Von Clausewitz - 1832 

Uma boa inteligencia deve ser acionavel! 

• Completa - suficiente para tomada de decisao 

• Acurada - precisa para tomar uma boa decisao 

• Relevante - relacionada a sua missao e objetivos 

• Oportuna - entregue no tempo certo 


Dragos - Industrial Control Threat Intelligence 



Conceitos 

Ameaga - "Fonte potencial de um evento adverso" 

Computer Security Incident Handling Guide - NIST - SP 800-61 Rev. 2 

Agente ou Ator de Ameaga - "Sao individuos, grupos ou 
organizagoes que realizam agoes maliciosas contra 
determinado alvo. Podem ser caracterizados por suas 
motivagoes, capacidades, objetivos, nivel de sofisticagao, 
atividades passadas e recursos aos quais tem acesso. 

STIX™ Version 2.0. Part 2: STIX Objects 

Vetor de Ameaga - "A tecnica ou o metodo utilizado por uma 
ameaga para com prometer a seguranga do seu alvo, 
explorando suas vulnerabilidades" 


SANS Glossary of Security Terms 


Inteligencia de Ameagas 

Threat intelligence is very simply knowledge of the adversary (threats actors), it is 
generally analyzed information, meaning to some level of interpreted data and 
information relating to an entity that has the intent, opportunity and capability to do 
you harm. 

Robert M. Lee, CEO and founder of Dragos 


Conhecimento 

Adversario 

Contexto, Mecanismos, 

Objetivos, comportamentos, 

Indicadores, Implicagoes, 

recursos, capacidades, 

Orientada a Agoes 

motivagoes, recursos 


Por Que? 

• Das guerras antigas as modernas, conhecer bem seus 
inimigos e imperative para o estabelecimento de estrategias 
eficientes. 

• Para seguranga da informagao, a premissa tambem e valida. 

• Sun Tzu, por volta de 500 anos A.C., escreveu a "A 
Arte da Guerra", onde estabelecia: 


• "Conhece teu inimigo e conhece-te a ti mesmo; se tiveres 
cem com bates a travar, cem vezes seras vitorioso. 

• Se ignoras teu inimigo e conheces a ti mesmo, tuas 
chances de perder e de ganhar serao identicas. 

• Se ignoras ao mesmo tempo teu inimigo e a ti mesmo, so 
contaras teus combates por tuas derrotas." 
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Para Que? 

1. Quais tipos de atores sao uma ameaga a sua organizagao ou 
industria 

• Capacidade, oportunidade e intengao. 

2. Como estas ameagas operam? 

3. Quais sao as principals "joias da coroa" que podem ser 
atacadas e abusadas em seu ambiente? 

4. Qual o risco de sua empresa ser alvo destas ameagas? 

• Probabilidade X Impacto 

5. Quais as melhores formas de voces prevenir, detectar e 
responder a tais ameagas de maneira oportuna e proativa? 




Sliding Scale of Cybersecurity 



ARCHITECTURE PASSIVE DEFENSE ACTIVE DEFENSE 


The planning, establishing, 
and upkeep of systems with 
security in mind 


Systems added to the 
Architecture to provide 
reliable defense or insight 
against threats without 
consistent human interaction 


The process of analysts 
monitoring for, responding 
to, and learning from 
adversaries internal 
to the network 


INTELLIGENCE 


Collecting data, exploiting 
it into information, and 
producing Intelligence 


OFFENSE 


Legal countermeasures 
and self-defense actions 
against an adversary 
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Pyramid of Pain 




Tough! 


A 


A 


Tools 




Challenging 


A 


A 


Network/ 
Host Artifacts 


Domain Names 


IP Address 


Hash Values 




Annoying 




Simple 




Easy 



Trivial 


Source: DavidJ. Bianco, personal blog 









Cyber Kill Chain 


INTRUSION KILL CHAIN 



Delivery 




Exploitation 


Transmission 
of the weapon to the 
Targeted 

environment using 
vectors like email 
attachments, 
websites, and USB 
removable media 


After the weapon is 
delivered to vitim 
host, exploition 
triggers intruders 
code. Most often 
exploition tragets an 
application or 
Operating system 
vulnerabliilty 




Installation 




Command & 
Control (C2) 


Installation of a 
remore access 
trojan or backdoor 
on the victim system 
allows the adversary 
to maintain 
presistence inside 
the environment. 


Typically, 

compromised hosts 
must beacon 
outbound to an 
internet controller 
server to establish a 
C2 channel 




Actions on 
Objectives 


Only now, after 
progressing through 
the first six phases, 
can intruders take 
actions to achieve 
thier original 
objectives. Typically 
this objective is data 
exflitration which 
involves collecting, 
encrypting and 
extracting 

information from the 
victim environment 


Como o ator de ameaga opera, desde o reconhecimento ate seu objetivo final? 
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Diamond Model for Intrusion Analysis 

Adversary 



TTP / 

Capabilities 
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Classe de Adversaries 


Estados Competidores Cibercrime Script Kiddies Terroristas Hackitivistas Insiders 



Financeira Industrial Militar Ideologica Politica Prestigio 



Cartoes de Credito 


Propriedade Intelectual 


Pll / Identidades 


Infraestrutura de Tl 


Aplicagoes Web 


Processos de Negocio 



Exploitation 

Frameworks 


DoS 


Phishing 


Malware 


Injegao SQL 


Forga Bruta 


Engenharia Social 


Exfiltragao 
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Vetores 


Exploitation 

Frameworks 

DoS 

1 Phishing 

Malware 

Injegao SQL 

Forga Bruta 

Engenharia Social 

Exfiltragao 
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Classe de Atores 


Insiders 


Motivagdes 


Ideologica 


Ativos Desejados (Alvos) 


^.CUR/f. 


Propriedade Intelectual 


Impactos 


Confidencialidade 


Reputafao 


Vetores 


Exfiltragao 


Engenharia Social 






















APT & CyberCriminal Campaign Collection 


APT & CyberCriminal Campaign Collection 

This is a collection of APT and CyberCriminal campaigns. Please fire issue to me if any lost APT/Malware events/campaigns. 
flThe password of malware samples could be ’virus' or ’infectedj 

Reference Resources 

• kbandla 

• APTnotes 

• Florian Roth - APT Groups 

• Attack Wiki 

• threat-INTel 

• targetedthreats 

• Raw Threat Intelligence 

• APT search 

2018 

• Sep 04 - [Palo Alto Network] OilRig Targets a Middle Eastern Government and Adds Evasion Techniques to OopsIE | Local 

• Aug 28 - [Checkpoint] CeidPageLock: A Chinese RootKit | Local 

• Aug 23 - [Kaspersky] Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware | 
Local 

• Aug 21 - [ESET] TURLA OUTLOOK BACKDOOR | Local 

• Aug 21 - [Trend Micro] Supply Chain Attack Operation Red Signature Targets South Korean Organizations | Local 

• Aug 16 - [Recorded Future] Chinese Cyberespionage Originating From Tsinghua University Infrastructure | Local 

• Aug 09 - [McAfee] Examining Code Reuse Reveals Undiscovered Links Among North Korea's Malware Families | Local 

• Aug 02 - [Medium] Goblin Panda against the Bears | Local 

• Jul 31 - [Palo Alto Network] Bisonal Malware Used in Attacks Against Russia and South Korea | Local 

• Jul 31 - [Medium] Malicious document targets Vietnamese officials | Local 

• Jul 16 - [Trend Micro] New Andariel Reconnaissance Tactics Hint At Next Targets | Local 

• Jul 13 - [CSE] Operation Roman Holiday - Hunting the Russian APT28 group | Local 


https://aithub.com/CvberMonitor/APT CyberCriminal Campaain Collections 
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Aviso Importante! 

• Dragos 

• Crowdstrike 

• Nosso caso, Pokemon! 

CHRYSENE ||| 

Since 2017 Since 2014 

MODE OF OPERATION H MODE OF OPERATION 

CAPABILITIES H CAPABILITIES 

VICTIMOLOGY H VICTIMOLOGY 

America 

LINKS ■ LINKS 
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Adversary 


Category or Nation-State 



Russian Federation 

\ 

^ CHOLLIMA 

Democratic People's Republic of Korea (North Korea) 


~^j JACKAL 

Hacktivist 

kitten 

Iran 


^ LEOPARD 

Pakistan 

^ panda 

People's Republic of China 


^ SPIDER 

eCrirme 

$ 

^ TIGER 

India 






































Suicune Group 



Nmap / NSE 

Cloud App Scan 

(Qualys / Netsparker) 

Webshell (LFI) 

Injegao SQL 

Mimikatz 

Modulos Metasploit, 
exploragao de CVEs de 
aplicagoes web 

RDP sobre HTTPS 

Forga bruta em paginas 
de administragao 



-•/f/V Grupo atuante desde 2016 , com 
foco em instituigoes financeiras 
adversary Busca informagoes sensfveis na rede 

Operava no fuso horario europeu 
Campanhas duravam meses 


Reconhecimento 

Armamento 

Entrega 

Exploragao 

Instalagao 


Agoes 


Proxy Reverso, 

L err) Multiplos Proxies 

VPS - Digital Ocean 
- Cingapura / 

infrastructure Holanda / EUA 

VPN / TOR 


HI Instituigoes Bancarias 
em varios paises 


VICTIM 







Suicune Group - Agoes 


• Foram analisados os TTPs (taticas, tecnicas e procedimentos) 
deste ator de ameaga para: 

• Determinar e priorizar a corregao de vulnerabilidades exploradas no 
passado por este grupo. 

• Verificar junto as areas de negocio a possibilidade de bloqueio de trafego 
originado de alguns paises, afinal, porque enderegos de Cingapura 
acessam suas apncagoes? 

• Aumentar a "paranoia" das equipes de monitoramento para alertas no 
horario comercial europeu, com especial atengao aos feriados locais. 







Bloquear de trafego oriundo de VPS/TOR/VPNs. 

Criar alertas para monitorar atividades de 
reconhecimento e exploragao. 

Preparar agoes de resposta para eventuais 
incidentes. 
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Conclusao 

• Inteliqencia e sobre o inimigo, que 
pode ja estar dentro da sua rede. 

• Conhecer a si proprio e tao importante 
como conhecer seu inimigo. 

• Inteligencia de Ameagas pode (deve) 
apoiar toda atividade de seguranga 
(operagoes, processos e estrategias). 

• IA permite que o enfoque de 
seguranga seja proativo e nao reativo, 
apoiando na mitigagao de riscos. 

• "Contra ameagas, conhecimento e 
poder" - Fire Eye 
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Duvidas? 




Suicune Group 
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